Mikä on GDPR? Uusi tietosuoja-asetus selitettynä lyhyesti
GDPR, eli General Data Protection Regulation, on osa EU-tason tietosuojasääntelyä, jonka tarkoituksena on yhtenäistää EU:n kansalaisten henkilötietojen säilyttämisen ja käyttämisen pelisäännöt.
Henkilötietojen käsittelyä on säännelty tähänkin asti Suomessa henkilötietolailla, joka perustuu henkilötietodirektiiviin. GDPR tulee korvaamaan henkilötietodirektiivin sekä muut EU-maiden kansalliset henkilötietoja koskevat asetukset 25.5.2018 jälkeen.
Ennen GDPR:n voimaan astumista voidaan todeta, että olemme eläneet henkilötietojen villin lännen aikaa. Erilaisia henkilötietoja koskevia rekistereitä on kulkeutunut milloin sähköpostien liitteinä työkavereille, milloin Excel-tiedostoina läppärin työpöydälle. Villi länsi on myös johtanut epäluottamukseen ja spekulaatioihin kohdennetun mainonnan ympärille, syystäkin. Kuluttajien on ollut todella vaikea saada vastausta siihen, missä yhteyksissä henkilötietoja on kerätty ja millä käyttötarkoituksella.
GDPR koskee kaikkia EU:n kansalaisten henkilötietoja käsitteleviä yrityksiä. Näin ollen tällä asetuksella suojataan EU-kansalaisten henkilötietoja myös niiltä yrityksiltä, joiden kotipaikka on muualla kuin EU-alueella (kuten Facebook ja Google).
Yksi merkittävimmistä edistysaskelista GDPR:ssä on henkilötiedon laajempi määritelmä. Henkilötiedon määritelmä käsittää kaiken tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvän tiedon. Niinpä GDPR:n mukaisessa henkilötietojen määritelmässä henkilötiedoiksi katsotaan mm. sijaintitieto, verkkotunnustieto, evästeet ja IP osoite. Lisäksi on määritelty uusi henkilötietojen ryhmä; pseudonymisoidut tiedot, jolloin esimerkiksi nimimerkki keskustelupalstalla katsotaan henkilötiedoksi.
GDPR määrittelee pelisäännöt henkilötietojen keräämiselle, säilyttämiselle ja hyödyntämiselle. GDPR esimerkiksi velvoittaa, että tietojen keräämiselle on oltava peruste.
Tässä kirjoituksessa avataan GDPR:ää mainostajan sekä verkkosivuston ylläpitäjän näkökulmasta. Jos yrityksesi omistaa verkkosivut ja ohjaat kävijöitä sivuille maksetun mainonnan kautta, niin lue tämä!
GDPR mainostajan näkökulmasta
Mainonnan näkökulmasta GDPR on tunnettava vähintään siltä osin, että ymmärtää mikä on oma roolinsa henkilötietojen käsittelyn suhteen. Tyypillisesti mainonnan toteuttamiseen liittyvät kolme osapuolta; mainostaja (yritys x), mainosalusta (Google, FB, ym.) ja markkinointitoimisto (esim. Mediashake Oy).
GDPR jakaa henkilötietoja koskevat roolit kahteen rooliin; rekisterinpitäjään (controller) ja tietojen käsittelijään (processor). Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietojen käsittelijä taas toimii rekisterinpitäjän lukuun toimeksiannon perusteella.
Nämä ovat roolijaot tilanteessa, jossa toteutetaan maksettua mainontaa Googlessa tai Facebookissa:
Yksi taho voi olla sekä rekisterinpitäjä että tietojen käsittelijä samassa sopimussuhteessa.
Google AdWords on rekisterinpitäjä, joka hyödyntää Googlen keräämiä henkilötietoja mainoskoneistonsa pyörittämisessä.
Google Analytics (GA) taas on tietojen käsittelijä, sillä GA ei itsessään käytä henkilötietoja vaan toimii rekisterinpitäjän, eli mainostajan apuvälineenä tietojen keräämisessä ja analysoinnissa.
Rekisterinpitäjän ja tietojen käsittelijän välillä tulee aina olla sopimus. Toisin sanoen kaikilla yrityksillä, jotka omistavat AdWords-tilin tai Facebookin mainostilin, on tehtävä sopimus Googlen tai Facebookin kanssa. Kyseessä on toki hyvin yksipuolinen sopimuksesta, jossa hyväksytään Googlen tai Facebookin antamat ehdot, jos mainostamista näillä alustoilla halutaan toteuttaa.
Markkinointitoimiston ja mainostajan välillä tulee olla sopimus (Data Processing Agreement DPA) esimerkiksi tapauksissa, joissa mainostoimisto käyttää asiakkaan hallussa olevia henkilötietorekistereitä tai mainostoimistolla on pääsy asiakkaan järjestelmiin, jotka sisältävät henkilötietoa. Näissä tilanteissa markkinointitoimisto on tietojen käsittelijä ja mainostaja (yritys x) rekisterinpitäjä.
Jos markkinointitoimistolla on kuitenkin pelkät oikeudet asiakkaan mainostileille, ei markkinointitoimistolla GDPR:n mukaan ole erikseen määriteltyä roolia. Tällöin asiakkaan ja Googlen tai Facebookin välinen sopimus on ainoa, jonka tilanne vaatii.
Varmista siis ensin, onko käyttämälläsi markkinointitoimistolla pääsy järjestelmiisi tai hallussaan yrityksesi henkilötietorekistereitä. Jos näin on, varmista seuraavaksi, että teillä on GDPR:n vaatimusten mukainen keskinäinen sopimus. Konsultoi sopimusasiassa tarvittaessa lainopillista neuvonantajaasi.
Mainostajan vastuut ja velvollisuudet
Mainostaja voi siis olla sekä rekisterinpitäjä että tietojen käsittelijä. Rekisterinpitäjää koskee laajemmat vastuut ja velvollisuuden, kuin tietojen käsittelijää.
Henkilöitä, joiden tietoja on kerätty, sanotaan rekisteröidyiksi. Rekisteröidyillä on GDPR:n mukaan erilaisia oikeuksia rekisterinpitäjän suhteen. Rekisteröidyllä on muun muassa oikeus
- saada informaatiota henkilötietojen keräämisestä ja käsittelystä
- saada pääsy omiin tietoihin
- oikeus oikaista omia tietoja
- oikeus poistaa omat tiedot
Rekisterinpitäjän (mainostajan) on siis kyettävä toimittamaan rekisteröidylle selvitys, onko hänestä kerätty henkilötietoa, mitä tietoa on kerätty, mihin sitä on käytetty tai onko sitä toimitettu kolmannelle osapuolelle. Rekisterinpitäjällä on 6 kuukautta aikaa toimittaa nämä tiedot pyynnön esittämisestä.
Henkilötietojen keräämiselle on oltava peruste. Yksi perusteista on suostumus (perusteita on 6 erilaista*). Googlessa ja Facebookissa mainostaminen edellyttää suostumusta henkilötietojen keräämiselle. Mainostajalla on näin ollen velvollisuus pyytää lupa henkilötietojen käyttöön verkkosivuillaan ja antaa kävijälle mahdollisuus hylätä lupa tietojen keruuseen. Useimmiten kyse on evästeiden keruusta.
Sekä Google että Facebook ovat ohjeistaneet yritykset pyytämään suostumuksen evästeiden keruuseen verkkosivuillaan. Näillä näkymin vastuu evästekeräyksen luvan pyytämisestä on siis mainostajilla, jotka myös lähtökohtaisesti ovat rekisterinpitäjiä.
Suostumuksen on oltava vapaaehtoinen. Suostumuksen on lisäksi oltava peruutettavissa ilman, että tästä koituisi vaivaa henkilöille tai että kielto estäisi sivuston käytön. Suostumuksessa on myös pystyttävä erittelemään luvat eri käyttötarkoituksille ja käyttötarkoitukset tulee selittää selvällä kansankielellä. Lisäksi mainostajan pitää pystyä todistamaan, että lupa on saatu.
Vastuut ja velvollisuudet voivat kuulostaa melko painavilta ja kalliilta toteuttaa. Näin ei onneksi ole, sillä luvan pyytämiseen löytyy useita työkaluja, jotka noudattavat GDPR:n vaatimuksia. Seuraavaksi kerrotaan käytännön toimista, joita mainostajalta vaaditaan.
Mitä toimenpiteitä mainostajalta vaaditaan?
Oletkin jo todennäköisesti hyväksynyt Google AdWordsin ja Facebookin uudistuneet käyttöehdot. Jos et kuitenkaan tätä ole tehnyt, niin tutustu uusiin käyttöehtoihin.
Valitse Google Analytics -tililtä aika, jonka jälkeen data poistuu (14 kk, 26 kk, 38 kk, 50 kk). Voit myös valita, ettei data vanhene automaattisesti. Aikavalinnan avulla voit paremmin hallita henkilötiedon tallentumista ja säilyttämistä. Mediashake suosittelee valitsemaan mahdollisimman pitkän aikavalinnan (50 kk), ja tiukentaa aikavalintaa tarvittaessa.
Oletuksena aikarajavalinta on 26 kuukautta. Aikarajan asettamisen jälkeen kerätty henkilötieto ja tapahtumatiedot poistuvat automaattisesti. Tämä ominaisuus aktivoituu 25.5.2018 jälkeen ja poistaa valitsemaasi aikarajaa vanhemman datan.
Sinun on myös päivitettävä verkkosivuilla olevaa tietosuojaselostetta. Tässä sinun on hyvä käyttää lainopillista neuvonantajaa apunasi.
Kaikista olennaisin toimenpide kuitenkin on, että asennat verkkosivuille toiminnallisuuden, joka pyytää kävijöiltä GDPR:n vaatimusten mukaisesti luvan evästeiden keruuseen ja hyödyntämiseen.
Tähän löytyy erilaisia maksullisia ja maksuttomia työkaluja, kuten*:
- Cookie Consent (Silktide)
- Cookie Control (CIVIC)
- The Cookie Collective (Governor Technology)
- Cookiebot (Cybot)
- Cookie Consent Kit (Euroopan komissio)
*lähde (7.5.2018): https://www.cookiechoices.org/
Suosittelemme olemaan toiminnallisuuksien lisäämisessä yhteydessä verkkosivujen ylläpitäjään.
GDPR – uhka vai mahdollisuus?
Ymmärrettävästi mainostajien näkökulmasta yleinen reaktio GDPR:n ympärillä on ollut negatiivinen ja se nähdään rasittavana uudistuksena, joka sitoo resursseja. Onkin melko haastava keksiä pienen ja keskisuuren yrityksen näkökulmasta selviä hyötyjä GDPR:n jalkautumisen suhteen.
Isot brändit voivat käyttää yksityisyyden suojaa yhtenä brändin ehostamiskeinona, johon investoimalla voidaan kiillottaa imagoa ja tätä kautta saavuttaa kilpailuetua. Pienemmätkin yritykset voivat lisätä luottamusta kuluttajien keskuudessa osoittamalla kunnioitusta asiakkaiden yksityisyyden suojaa kohtaan.
Pienemmässä yrityksessä tähän liittyviä ylimääräisiä investointeja ei välttämättä koeta kovinkaan houkutteleviksi, tai edes relevanteiksi liiketoiminnan kannalta.
Pk-yritys on ison yrityksen lailla altis henkilötietojen väärinkäytölle ja siitä seuraaville sanktioille. Datan väärinkäyttö voi olla seuraus huolimattomasta käsittelystä tai vahingosta. Oli henkilötietojen väärinkäyttö tahallista tai ei, on henkilötietojen väärinkäytön leima yritykselle vakava, ja luottamus kuluttajiin voi olla vaikea rakentaa uudelleen.
Voidaankin ajatella, että kiristynyt tietosuoja-asetus pienentää merkittävästi huolimattomuudesta aiheutuvaa henkilötiedon väärinkäytön riskiä.
Digitaalisen mainonnan erinomaisuus perustuu nimenomaan kerättyyn dataan käyttäjistä, joka mahdollistaa mainosten kohdentamisen halutuille kohderyhmille. Ihannetilanteessa mainoksen vastaanottaja kokee mainoksen hyödylliseksi ja kiinnostavaksi.
Voidaankin ajatella, että GDPR:n myötä kohderyhmän laatu mainostajan näkökulmasta paranee, sillä käyttäjille annetaan mahdollisuus valita, milloin ja miten he hyväksyvät mainonnan näkymisen.
Esitänkin kritiikille alttiin väitteen: GDPR:n suurin hyöty mainostajan näkökulmasta on siinä, että asetus tulee parantamaan datan laatua ja siivoamaan kohderyhmistä vähiten potentiaaliset ostajat pois.
Väitteeni mukaan ne, jotka lähinnä häiriintyvät mainoksistasi, voivat nyt äänestää jaloillaan, eivätkä tule rasittamaan budjettiasi klikatessaan mainostasi syystä tai toisesta. Näin myös asiakkaan hankintakustannus digitaalisessa mainonnassa pienenee.
Tiivistetysti: GDPR on mahdollisuus, joka pienentää liiketoiminnan riskejä!
Pidimme meidän asiakkaille webinaarin 9.5.2018, jossa avasimme parhaan silloisen näkemyksemme mukaan GDPR:ää ja vaadittavia toimenpiteitä siihen liittyen. Nyt päätimme jakaa tämän webinaarin sisällön muillekin. Webinaaria on leikattu jättäen siihen vain olennaiset kohdat.
Teuvo Lyytikäinen
Täällä on hyvin erilainen näkemys evästeiden käytölle kun kyseessä on verkkokauppa ja siihen liittyvä kävijätietojen seuranta. Onko teidän kirjoittamat suositukset evästeiden hyväksyntään tarkoitettu tilanteeseen, jossa käytetään muita lähteitä kuin Google Analytics? Esimerkiksi Facebook Pixel tai Google Display Network -seurantakoodi.
https://www.verkkokauppablogi.fi/tietosuoja-asetus-selkokielella.html
https://www.verkkokauppablogi.fi/evastelaatikot-jaavat-historiaan.html
Matti Hirvonen
Tämä ohjeistus koskee Google Analytics -tiliä, jossa käytetään mainonnan ominaisuuksia (https://support.google.com/analytics/answer/3450482?hl=en), joita ovat esimerkiksi uudelleenmarkkinointiluettelot tai demografia-raportit. Jos näitä ominaisuuksia ei käytetä, niin tällöin erillistä suostumusta ei välttämättä tarvita.
Myös Facebook-pikseli ja Google AdWordsin seurantakoodit vaativat tämän hetkisen tulkitamme muokaan suostumuksen pyytämisen.